A Lei nº 13.709/2018 – Lei Geral de Proteção de Dados – tem por objetivo normatizar o tratamento de dados pessoais, sendo inequívoco que ela se aplica na relação empregador-empregado(a).
A própria lei define o que é considerado tratamento em seu Art. 5º, inciso X: “Art. 5º Para os fins desta Lei, considera-se:
(…)
X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;“
Ao analisar todas as ações consideradas como tratamento de dados pessoais, resta evidente que os empregadores tratam dados pessoais de seu(as)s empregado(a)s de diversas formas e por diversas razões.
Repisa-se, pois de grande importância, que a LGPD dispõe sobre as hipóteses de tratamento dos dados pessoais, as quais denominam-se bases legais:
“Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
- – mediante o fornecimento de consentimento pelo titular;
- – para o cumprimento de obrigação legal ou regulatória pelo controlador;
- – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
- – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
- – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
- – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
- – para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
- – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (Redação dada pela Lei nº 13.853, de 2019) Vigência
- – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
- – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
§ 1º Nos casos de aplicação do disposto nos incisos II e III do caput deste artigo e excetuadas as hipóteses previstas no art. 4º desta Lei, o titular será informado das hipóteses em que será admitido o tratamento de seus dados. (Revogado pela Medida Provisória nº 869, de 2018)
§ 1º (Revogado). (Redação dada pela Lei nº 13.853, de 2019)
§ 2º A forma de disponibilização das informações previstas no § 1º e no inciso I do caput do art. 23 desta Lei poderá ser especificada pela autoridade nacional. (Revogado pela Medida Provisória nº 869, de 2018)
§ 2º (Revogado). (Redação dada pela Lei nº 13.853, de 2019) Vigência
§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.
§ 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.
§ 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.
§ 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei.”
Sabe-se que muitos dos instrumentos coletivos de trabalho – acordos e convenções coletivas – possuem cláusulas que determinam a entrega, pelo empregador, de documentos e dados pessoais do(a)s empregado(a)s representado(a)s pelo sindicato subscritor, inclusive sob pena de multa.
Em uma primeira análise, considerando que os instrumentos coletivos tem força de lei (e inclusive se sobrepõe a esta, nas hipóteses do artigo 611-A da CLT), entende-se que ao cumprir referidas cláusulas, a base legal para tal tratamento de dados é a elencada no inciso II acima transcrito, qual seja: cumprimento de obrigação legal ou regulatória pelo controlador.
Assim, não haveria qualquer risco ao empregador quando do cumprimento de tais cláusulas.
Entretanto, o mesmo Artigo 7º supratranscrito dispõe:
“§ 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.”
Dentre tais princípios, destacam-se neste contexto os da finalidade e da necessidade, assim conceituados no Artigo 6º da LGPD:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
Assim, entende-se que, para maior segurança jurídica do empregador ao cumprir tais cláusulas normativas, estas devem ser adequadas esclarecendo a finalidade de solicitar tais dados, deixando claro os propósitos legítimos, específicos, explícitos e informados aos titulares (seus representados), bem como observando o princípio da necessidade, limitando o tratamento ao mínimo necessário para realização de suas finalidades.
Isso porque, embora sejam os sindicatos legítimos representantes dos trabalhadores e trabalhadoras de suas bases, a LGPD deixa claro em seu artigo
1º que seu objetivo é proteger os direitos fundamentais de liberdade e de privacidade, sendo estes, portanto, indisponíveis.
Claro que tal indisponibilidade não é absoluta, sobretudo quando tais princípios são sopesados face a outros princípios constitucionais, entretanto, cumpre analisar quais outros direitos fundamentais estariam em conflito com os acima mencionados para que essa possibilidade se apresente.
Neste sentido, inclusive, encontra-se em tramitação a PEC 17/2019, cuja ementa é a seguinte: Acrescenta o inciso XII-A, ao art. 5º, e o inciso XXX, ao art. 22, da Constituição Federal para incluir a proteção de dados pessoais entre os direitos fundamentais do cidadão e fixar a competência privativa da União para legislar sobre a matéria.
Há de se recordar ainda, e finalmente, que a LGPD está em processo de regulamentação pela Autoridade Nacional de Proteção de Dados, o que pode apresentar novas perspectivas sobre sua interpretação.
Salvo melhor juízo, portanto, parece prudente e juridicamente mais seguro que as normas coletivas tragam em suas cláusulas que implicam em envio de dados pessoais pelos empregadores, ao menos, sua finalidade, comprometendo-se o sindicato subscritor a cumprir estritamente os princípios da boa-fé e da necessidade, dentre todas as demais disposições da LGPD.